防火墙—IPSec VPN（国密认证）

两个防火墙之间通过 IKE 建立 IPSec VPN 隧道（国密认证）

组网需求：某公司总部和分部之间要通过 Internet 进行通信，为保证信息安全，计划搭 建 IPSec VPN 隧道对通信的数据进行加密。

1、总部和分部均使用防火墙联入互联网。

2、两台防火墙均工作在路由模式，分别位于公网出口，即边界处。  

3、两台防火墙之间搭建 VPN 自动隧道，其中 CA 中心为防火墙 1 。

两台防火墙的具体参数如下表所示。

 配置思路 ：国密认证时的配置思路如下图所示

 配置防火墙 1

步骤 1 配置防火墙接口 IP 地址、源 NAT 、安全策略等，保证内网主机可以访问互 联网。具体步骤略。

步骤 2 进入 Web 配置界面，选择“网络配置 > 路由 > 静态路由”，单击“添 加”，配置默认路由。

步骤 3 配置 SM2 算法的可信 CA 。

 

1、进入 CLI 配置界面，输入以下命令，创建基于 SM2 算法的 CA 。

NSG-config] pki cacenter generate ca country cn state

beijing city beijing commpany qianxin depart production

cname qianxin-firewall email 123@qianxin.com

validperiod 1000 pkey SM2-256

2、 进入 Web 配置界面，选择“系统配置 > CA 中心 > 本地 CA ”，查看 生成的 CA 信息。

步骤 4 配置 SM2 算法的一般证书。

 

1、进入 CLI 配置界面，输入以下命令，配置基于 SM2 算法的一般证书。

NSG-config] pki cacenter generate cert country cn state

beijing city beijing commpany qianxin depart production

cname qianxin-firewall email 123@qianxin.com

validperiod 1000 pkey SM2-256

2、  进入 Web 配置界面，选择“系统配置 > CA 中心 > 本地 CA ”，查看 生成的一般证书信息。

步骤 5 选择“系统配置 > 证书管理 > 可信 CA ”，单击“导入”，从本地 CA 中 心导入刚生成的可信 CA 。

 

 步骤 6 导入完成后，单击“操作”列的“ ”，导出可信 CA 证书，保存到管理 主机，后续会将该 CA 证书导入到防火墙 2 中。

 步骤 7 选择“系统配置 > 证书管理 > 证书列表”，单击“导入”，导入刚生成 的证书。

步骤 8 选择“网络配置 > VPN > IPSec 自动隧道”，选择“ IKE 提议”页签，单击 “添加”，配置 IKE 提议。

 

步骤 9 选择“网络配置 > VPN > IPSec 自动隧道”，选择“ IPSec IKE 网关”页签， 单击“添加”，配置 IKE 网关。

 说明：对端 ID 值”为防火墙 2 生成的证书列表的主题信息。

步骤 10 选择“网络配置 > VPN > IPSec 自动隧道”，选择“ IPSec 提议”页签，配 置 IPSec 提议。

 

步骤 11 选择“网络配置 > VPN > IPSec 自动隧道”，选择“ IPSec 隧道”页签，配 置 IPSec 隧道。

 步骤 12 选择“策略配置 > 安全策略”，单击“添加”，配置安全策略。

 

 

 说明：防火墙匹配安全策略时，是按照从上到下的顺序进行匹配。因此，安全策略 配置完成后，请根据实际组网合理调整隧道相关安全策略的顺序，防止因为流量匹配到错误的安全策略，导致业务不通的情况发生。

防火墙 1 审批证书

步骤 1 进入防火墙 1 的 Web 配置界面，选择“系统配置 > CA 中心 > 证书审批”， 单击“导入”，把防火墙 2 的请求文件导入防火墙 1 。

步骤 2 导入成功后，单击“ ”，进行审批。

 

步骤 3 审批成功后，选择“系统配置 > CA 中心 > 一般证书”，查看审批通过的 证书。

 

 

步骤 4 单击“ ”，导出审批通过的证书，再将该审批后的证书导入防火墙 2 即可。

 配置防火墙 2

步骤 1 配置防火墙接口 IP 地址、源 NAT 、安全策略等，保证内网主机可以访问互 联网。具体步骤略。

步骤 2 进入 Web 配置界面，选择“网络配置 > 路由 > 静态路由”，单击“添 加”，配置默认路由。

步骤 3 配置并下载请求文件。 进入 Web 配置界面，选择“系统配置 > 证书管理 > 请求文件”，单

击“生成请求文件”，创建请求文件。

 单击“ ”，导出并下载请求文件。

 

步骤 4 将请求文件导入防火墙 1 ，进行请求文件审批。

步骤 5 选择“系统配置 > 证书管理 > 可信 CA ”，单击“导入”，将防火墙 1 导 出的可信 CA 导入到防火墙 2 的可信 CA 中。

 

步骤 6 选择“系统配置 > 证书管理 > 请求文件”，单击请求文件操作列的 把防火墙 1 审批后的证书导入到防火墙 2 中。

 

 步骤 7 选择“网络配置 > VPN > IPSec 自动隧道”，选择“IKE 提议”页签，单击 “添加”，配置 IKE 提议。

步骤 8 选择“网络配置 > VPN > IPSec 自动隧道”，选择“ IPSec IKE 网关”页签， 单击“添加”，配置 IKE 网关。

 

说明：对端 ID 值”为防火墙 1 生成的证书列表的主题信息。 

步骤 9 选择“网络配置 > VPN > IPSec 自动隧道”，选择“ IPSec 提议”页签，配置 IPSec 提议。

步骤 10 选择“网络配置 > VPN > IPSec 自动隧道”，选择“ IPSec 隧道”页签，配 置 IPSec 隧道。

 

 

 步骤 11 选择“策略配置 > 安全策略”，单击“添加”，配置安全策略。

 说明：防火墙匹配安全策略时，是按照从上到下的顺序进行匹配。因此，安全策略 配置完成后，请根据实际组网合理调整隧道相关安全策略的顺序，防止因为 流量匹配到错误的安全策略，导致业务不通的情况发生。

 结果验证：在防火墙两侧配置完成后，如果勾选了“自动连接”选项，系统会自动协商 隧道参数并建立连接。此时，在“数据中心 > 监控 > 隧道监控”界面中， 可以看到相应的 IPSec VPN 隧道的连接状态。